Stratégie

Comment les DSI d'aujourd'hui se débattent avec le shadow IT

Le shadow IT prend une nouvelle importance avec le développement des technologies cloud et mobiles (photo CIO US).

Le shadow IT n'est pas nouveau mais prend une autre ampleur. Ne pouvant l'interdire, les DSI essaient de le contrôler.

PublicitéAvec le développement du cloud et des appareils mobiles, le shadow IT est redevenu une préoccupation majeure pour les DSI de tous les secteurs. Plusieurs d'entre eux expliquent à nos confrères de CIO UK leur préoccupation sur ce sujet. Petit rappel, selon la définition de Simon Mingay, analyste au Gartner le shadow IT inclut « l'investissement dans l'acquisition, le développement et / ou l'exploitation de solutions informatiques échappant au contrôle formel d'une organisation informatique formelle ».

Pour lui, le shadow IT a pris une nouvelle importance avec la prolifération des technologies cloud et mobiles. Les salariés peuvent subitement accéder à des applications étrangères, via le réseau de l'entreprise et à partir de leurs iPhones ou smartphones Android personnels. Le shadow IT est devenu plus varié. Demandez aux DSI à quoi ressemblent les technologies de l'information dans leurs entreprises et ils vont probablement citer un responsable marketing qui achète des licences Salesforce ou un analyste métier qui télécharge des documents d'entreprise dans Dropbox. Ils parleront de ces développeurs qui utilisent des cartes de crédit d'entreprise pour acheter une infrastructure cloud auprès d'Amazon Web Services. Et se plaindre du personnel de vente qui effectue des présentations dans le monde entier à partir de ses propres terminaux mobiles. Pour tous ces scénarios, le dénominateur commun reste le même : cela se passe sans la permission du DSI et même sans qu'il soit au courant.

Le DevOps, l'autre forme du shadow IT

Premier exemple, celui de l'américain SAIC, où le shadow IT est une affaire sérieuse. Ce fournisseur de services informatiques spécialisé dans les agences gouvernementales emploie 10 000 personnes. Bob Fecteau, son DSI considère les technologies de l'information (TI) comme des outils DevOps. Autrement dit, certains groupes construisent, testent et gèrent leurs propres capacités informatiques. Il accepte que le travail informatique se déroule en dehors de sa compétence, mais il estime être toujours et partout responsable du budget IT de l'entreprise. « Ce qui est pertinent, explique-t-il, c'est de savoir si je peux en rendre compte, si je comprends combien cela coûte, et à quel point cela a un impact sur l'entreprise ».

Bob Fecteau doit également équilibrer la capacité des employés à accomplir leurs missions et l'institution de contrôles appropriés pour protéger SAIC. Il prend soin de bien distinguer les TI véritables de celles initiées par des «voyous», dans lesquels les employés peuvent transfèrer des fichiers d'entreprise et d'autres données dans des applications cloud non autorisées telles que Box. Et vis-à-vis de ses clients des agences fédérales, SAIC ne peut pas se permettre de risquer des fuites de données.

PublicitéBob Fecteau reconnaît que le rôle du DSI est passé de « je dois tout faire » à « je suis maintenant l'orchestrateur de tout ce qui est informatique ». En fin de compte, il est « responsable de connaître l'ensemble des dépenses informatiques, que je les dépense ou non n'est pas le sujet ».

Les failles d'une entreprise décentralisée

Pour son collègue Sarah Naqvi, DSI de la chaîne de restaurants HMHost, le shadow IT est susceptible de la tenir éveillé toute la nuit ! La société emploie 35 000 personnes réparties dans plus de 300 marques de restaurants qui desservent principalement les aéroports, les centres de voyage et les aires de repos. Parce qu'il traite environ 950 millions de transactions par carte de crédit, le groupe doit se conformer aux normes PCI de niveau 1 pour les détaillants. « La nature distribuée de nos opérations présente un défi », souligne la DSI.

Pour protéger les ordinateurs portables et les smartphones dont elle a équipé 500 employés, Sarah Navqi a mis en place un logiciel de gestion des appareils mobiles qui conteneurise efficacement les applications fonctionnant sur le terminal. La majorité des employés des différentes marques de HMHost travaillant dans les aéroports des Etats-Unis, accèdent à ses applications d'entreprise, par exemple aux logiciels de planification et de gestion du temps. Les connexions se font à partir des téléphones personnels. Le risque est démultiplié, les employés installant des applications non autorisée, comme Evernote pour la prise de note, qui accède à Box ou à des applications grand public comme Instagram et Pinterest.

« C'est le far west » concède la DSI. Elle a créé un comité de pilotage de la sécurité et de la conformité destiné à auditer les solutions consommées par les salariés de HMHost. Elle investit également massivement dans l'éducation, y compris dans des cours qui enseignent aux employés les risques associés à l'utilisation de technologies non homologuées. « Que cela nous plaise ou non, le shadow IT existe sous une forme ou une forme dans chaque organisation », explique Sarah Naqvi.

Nettoyer l'informatique, premier objectif du nouveau DSI

Lorsque Tom Anfuso a rejoint le groupe National Life en tant que directeur des systèmes d'information en 2014, il a passé une bonne partie de son temps à «nettoyer» l'informatique fantôme. Les actuaires et autres détenteurs de données traitent des primes d'un montant de 2,5 milliards de dollars pour 800 000 clients. Ils utilisent des applications écrites dans Microsoft SharePoint pour afficher des données, accéder aux rapports et conserver les dossiers des clients. Et Excel est un outil courant.

« C'était souvent le sentiment que l'IT ne peut rien pour eux, donc autant construire son propre truc », explique Tom Anfuso. Le DSI a dressé un inventaire de ces applications avant d'éliminer les moins importantes ou de transférer celles qui ont de la valeur dans Salesforce, Tableau ou d'autres plateformes. Après des années pendant lesquelles les employés pouvaient faire « presque n'importe quoi avec leurs ordinateurs de bureau », Tom Anfuso a également virtualisé l'environnement de bureau de National Life, en centralisant fermement le contrôle de l'informatique. « Nous avons rendu beaucoup plus difficile la construction, le téléchargement et l'installation de logiciels », explique-t-il.

Article de Clint Boulton / CIO US (traduit et adapté par Didier Barathon)